forum.opennet.ru - "Пользователи из LDAP видны только под root'ом" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Пользователи из LDAP видны только под root'ом"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Пользователи из LDAP видны только под root'ом"
Сообщение от Dip on 02-Дек-05, 14:48 (MSK)
Система пускает пользователей из LDAP, но потом команда id <user from LDAP> выдает no such user. То же самое при ls -l : вместо логинов/групп владельцев файлов видим UID/GID. Причем это касается только пользователей из LDAP, стандартные из passwd показываются нормально. Если сделать su в root'а, все начинает работать. Интуитивно чувствую, что где-то напортачил с правами, но не могу найти, где именно. Уже даже дал доступ на чтение LDAP всем. Не помогает. Может кто знает, в чем дело? Помогите разобраться, а то у меня уже глаза на лоб лезут от чтения доков...
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Пользователи из LDAP видны только под root'ом, Silent, 23:35 , 04-Дек-05, (1)

Пользователи из LDAP видны только под root'ом, Dip, 09:26 , 05-Дек-05, (2)

Пользователи из LDAP видны только под root'ом, Silent, 13:49 , 05-Дек-05, (3)

Пользователи из LDAP видны только под root'ом, Dip, 15:25 , 05-Дек-05, (4)

Пользователи из LDAP видны только под root'ом, Silent, 16:21 , 05-Дек-05, (5)

Пользователи из LDAP видны только под root'ом, Dip, 09:39 , 06-Дек-05, (6)

Пользователи из LDAP видны только под root'ом, Dip, 09:44 , 06-Дек-05, (7)

Пользователи из LDAP видны только под root'ом, Dip, 11:36 , 07-Дек-05, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Пользователи из LDAP видны только под root'ом"

Сообщение от Silent on 04-Дек-05, 23:35  (MSK)

>Система пускает пользователей из LDAP, но потом команда id <user from LDAP> выдает no such user. То же самое при ls -l : вместо логинов/групп владельцев файлов видим UID/GID. Причем это касается только пользователей из LDAP, стандартные из passwd показываются нормально. Если сделать su в root'а, все начинает работать.
>Интуитивно чувствую, что где-то напортачил с правами, но не могу найти, где
>именно. Уже даже дал доступ на чтение LDAP всем. Не помогает.
>
>Может кто знает, в чем дело? Помогите разобраться, а то у меня
>уже глаза на лоб лезут от чтения доков...

Скорей всего Вы используете файл ldap.secret (600 root:wheel) с паролем доступа root-a и rootbinddn к серверу директорий. Другим пользователям этот файл не доступен. Соответсвенно в nss_ldap.conf указываете binddn и bindpw для обычных пользователей.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Пользователи из LDAP видны только под root'ом"

Сообщение от Dip on 05-Дек-05, 09:26  (MSK)

>Скорей всего Вы используете файл ldap.secret (600 root:wheel) с паролем доступа root-a
>и rootbinddn к серверу директорий. Другим пользователям этот файл не доступен.
>Соответсвенно в nss_ldap.conf указываете binddn и bindpw для обычных пользователей.
Большое спасибо, что наконец-то кто-то отозвался!
Верно, я использую rootbinddn. Но binddn у меня тоже прописан. Может я не понял, что именно туда писать, но все равно не работает. Сейчас у меня в binddn прописан пользователь, существующий в базе LDAP. Пароль соответственно тоже. Или туда надо системного пользователя из passwd? Попробую сам разобраться, но если можете чем-то помочь - пишите, буду очень признателен.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Пользователи из LDAP видны только под root'ом"

Сообщение от Silent on 05-Дек-05, 13:49  (MSK)

>>Скорей всего Вы используете файл ldap.secret (600 root:wheel) с паролем доступа root-a
>>и rootbinddn к серверу директорий. Другим пользователям этот файл не доступен.
>>Соответсвенно в nss_ldap.conf указываете binddn и bindpw для обычных пользователей.
>
>Большое спасибо, что наконец-то кто-то отозвался!
>Верно, я использую rootbinddn. Но binddn у меня тоже прописан. Может я
>не понял, что именно туда писать, но все равно не работает.
>Сейчас у меня в binddn прописан пользователь, существующий в базе LDAP.
>Пароль соответственно тоже. Или туда надо системного пользователя из passwd? Попробую
>сам разобраться, но если можете чем-то помочь - пишите, буду очень
>признателен.
Попробуйте запустить сервер директории в дебаге и запросите список пользователей не из под root-a
#/usr/local/libexec/slapd -d 128

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Пользователи из LDAP видны только под root'ом"

Сообщение от Dip on 05-Дек-05, 15:25  (MSK)

>Попробуйте запустить сервер директории в дебаге и запросите список пользователей не из
>под root-a
>#/usr/local/libexec/slapd -d 128
Попробовал. Если не из под рута, то система вообще в LDAP не ходит. Причем who показывает пользователя (если он залогинился с другой консоли), а id говорит, что он не существует. Проверил права доступа на ldap.conf и nss_ldap.conf - все правильно, читать можно всем.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Пользователи из LDAP видны только под root'ом"

Сообщение от Silent on 05-Дек-05, 16:21  (MSK)

>>Попробуйте запустить сервер директории в дебаге и запросите список пользователей не из
>>под root-a
>>#/usr/local/libexec/slapd -d 128
>
>Попробовал. Если не из под рута, то система вообще в LDAP не
>ходит. Причем who показывает пользователя (если он залогинился с другой консоли),
>а id говорит, что он не существует. Проверил права доступа на
>ldap.conf и nss_ldap.conf - все правильно, читать можно всем.

А как он смог залогиниться, если его нет в LDAP-е? Значит его учетная запись в master.passwd и в этом случаи к серверу директории ни каких запросов поступать не должно.
Создайте несколько директорий из под root-a c владельцами пользователей находящихся в LDAP-e. Из под root-a они должны быть видны (при этом смотрим какие запросы идут к LDAP-у). Далее смотрим владельцев директорий не из под рута и не из под пользователя из LDAP-а (опять же смотрим какие запросы идут к LDAP-у). Если опять запросы не идут, то временно меняем права на ldap.secret, чтобы любые пользователи могли его читать. из под пользователей опять смотрим - должно быть все нормально, следовательно у Вас где-то проблемы с правами.
В логах ошибки есть? Синтаксис nss_ldap.conf правильный (внимательно посмотрите, может ошиблись с binddn, bindpw и т.д.)?

PS. Вы хоть конфиги показали бы. Кстати права на nsswitch.conf и настройки какие?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Пользователи из LDAP видны только под root'ом"

Сообщение от Dip on 06-Дек-05, 09:39  (MSK)

>А как он смог залогиниться, если его нет в LDAP-е? Значит его
>учетная запись в master.passwd и в этом случаи к серверу директории
>ни каких запросов поступать не должно.
Еще раз. В LDAP'e он есть. У меня проблема в том, что пользователи из LDAP логинятся, но потом не работают команды типа id, ls -a, chown и т.п. применительно к пользователю из LDAP, то есть система работает с UID/GID, но в упор не видит login и group. Видит только их только root. Может я сначала не совсем понятно объяснил, извините.
>Создайте несколько директорий из под root-a c владельцами пользователей находящихся в LDAP-e.
>Из под root-a они должны быть видны (при этом смотрим какие
>запросы идут к LDAP-у). Далее смотрим владельцев директорий не из под
>рута и не из под пользователя из LDAP-а (опять же смотрим
>какие запросы идут к LDAP-у). Если опять запросы не идут, то
>временно меняем права на ldap.secret, чтобы любые пользователи могли его читать.
Запросы идут только из под рута.
>из под пользователей опять смотрим - должно быть все нормально, следовательно
>у Вас где-то проблемы с правами.
>
>В логах ошибки есть? Синтаксис nss_ldap.conf правильный (внимательно посмотрите, может ошиблись с
>binddn, bindpw и т.д.)?
В логах ошибок нет. nss_ldap.conf - просто симлинк на ldap.conf, синтаксис вроде правильный.
>
>
>PS. Вы хоть конфиги показали бы. Кстати права на nsswitch.conf и настройки
>какие?
Права стояли 600. Смена на 644 ничего не дала. Конфиги выложу, если поможет. Их тока почистить от комментов надо, чтоб нагляднее было.
На последок:
login:user
password:
>id LDAPuser
id: LDAPuser: no such user
>su
#id LDAPuser
uid=10000(LDAPuser) gid=10000(LDAPgroup) groups=10000(LDAPgroup)
Может так понятнее...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Пользователи из LDAP видны только под root'ом"

Сообщение от Dip on 06-Дек-05, 09:44  (MSK)

О! Прогресс! Отключение binddn в ldap.conf и разрешение чтения из ldap.secret всем решили проблему. Заработало.
Расскажите пожалуйста, как правильно создать учетную запись для binddn и что прописать в ldap.conf, сам я видимо не правильно понял. У меня щас так:
1) пользователь создан с помощью утилиты LAM (LDAP account manager), это вебинтерфейс на PHP.
2) binddn uid=LDAPuser,ou=users,dc=domain,dc=net
Что неправильно и как надо?
Огромное спасибо! Наконец-то что-то начало проясняться.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Пользователи из LDAP видны только под root'ом"

Сообщение от Dip on 07-Дек-05, 11:36  (MSK)

Проблема решена.
Оказалось, что в ldap.conf надо было написать pam_password clear, я же пытался прикрутить туда pam_password ssha. Как оно работает не понимаю. Пароли в ЛДАПе хранятся в ssha по прежнему. Есть предположение, что эта строчка ответственна не за способ хранения hash'ев, а за способ передачи пароля ЛДАП-серверу, который уже сам определяет, каким алгоритмом генерить hash. Если кто знает, напишите.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Пользователи из LDAP видны только под root'ом"
Сообщение от Silent on 04-Дек-05, 23:35 (MSK)
>Система пускает пользователей из LDAP, но потом команда id <user from LDAP> выдает no such user. То же самое при ls -l : вместо логинов/групп владельцев файлов видим UID/GID. Причем это касается только пользователей из LDAP, стандартные из passwd показываются нормально. Если сделать su в root'а, все начинает работать. >Интуитивно чувствую, что где-то напортачил с правами, но не могу найти, где >именно. Уже даже дал доступ на чтение LDAP всем. Не помогает. > >Может кто знает, в чем дело? Помогите разобраться, а то у меня >уже глаза на лоб лезут от чтения доков... Скорей всего Вы используете файл ldap.secret (600 root:wheel) с паролем доступа root-a и rootbinddn к серверу директорий. Другим пользователям этот файл не доступен. Соответсвенно в nss_ldap.conf указываете binddn и bindpw для обычных пользователей.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Пользователи из LDAP видны только под root'ом"
	Сообщение от Dip on 05-Дек-05, 09:26 (MSK)
	>Скорей всего Вы используете файл ldap.secret (600 root:wheel) с паролем доступа root-a >и rootbinddn к серверу директорий. Другим пользователям этот файл не доступен. >Соответсвенно в nss_ldap.conf указываете binddn и bindpw для обычных пользователей. Большое спасибо, что наконец-то кто-то отозвался! Верно, я использую rootbinddn. Но binddn у меня тоже прописан. Может я не понял, что именно туда писать, но все равно не работает. Сейчас у меня в binddn прописан пользователь, существующий в базе LDAP. Пароль соответственно тоже. Или туда надо системного пользователя из passwd? Попробую сам разобраться, но если можете чем-то помочь - пишите, буду очень признателен.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Пользователи из LDAP видны только под root'ом"
	Сообщение от Silent on 05-Дек-05, 13:49 (MSK)
	>>Скорей всего Вы используете файл ldap.secret (600 root:wheel) с паролем доступа root-a >>и rootbinddn к серверу директорий. Другим пользователям этот файл не доступен. >>Соответсвенно в nss_ldap.conf указываете binddn и bindpw для обычных пользователей. > >Большое спасибо, что наконец-то кто-то отозвался! >Верно, я использую rootbinddn. Но binddn у меня тоже прописан. Может я >не понял, что именно туда писать, но все равно не работает. >Сейчас у меня в binddn прописан пользователь, существующий в базе LDAP. >Пароль соответственно тоже. Или туда надо системного пользователя из passwd? Попробую >сам разобраться, но если можете чем-то помочь - пишите, буду очень >признателен. Попробуйте запустить сервер директории в дебаге и запросите список пользователей не из под root-a #/usr/local/libexec/slapd -d 128
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Пользователи из LDAP видны только под root'ом"
	Сообщение от Dip on 05-Дек-05, 15:25 (MSK)
	>Попробуйте запустить сервер директории в дебаге и запросите список пользователей не из >под root-a >#/usr/local/libexec/slapd -d 128 Попробовал. Если не из под рута, то система вообще в LDAP не ходит. Причем who показывает пользователя (если он залогинился с другой консоли), а id говорит, что он не существует. Проверил права доступа на ldap.conf и nss_ldap.conf - все правильно, читать можно всем.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Пользователи из LDAP видны только под root'ом"
	Сообщение от Silent on 05-Дек-05, 16:21 (MSK)
	>>Попробуйте запустить сервер директории в дебаге и запросите список пользователей не из >>под root-a >>#/usr/local/libexec/slapd -d 128 > >Попробовал. Если не из под рута, то система вообще в LDAP не >ходит. Причем who показывает пользователя (если он залогинился с другой консоли), >а id говорит, что он не существует. Проверил права доступа на >ldap.conf и nss_ldap.conf - все правильно, читать можно всем. А как он смог залогиниться, если его нет в LDAP-е? Значит его учетная запись в master.passwd и в этом случаи к серверу директории ни каких запросов поступать не должно. Создайте несколько директорий из под root-a c владельцами пользователей находящихся в LDAP-e. Из под root-a они должны быть видны (при этом смотрим какие запросы идут к LDAP-у). Далее смотрим владельцев директорий не из под рута и не из под пользователя из LDAP-а (опять же смотрим какие запросы идут к LDAP-у). Если опять запросы не идут, то временно меняем права на ldap.secret, чтобы любые пользователи могли его читать. из под пользователей опять смотрим - должно быть все нормально, следовательно у Вас где-то проблемы с правами. В логах ошибки есть? Синтаксис nss_ldap.conf правильный (внимательно посмотрите, может ошиблись с binddn, bindpw и т.д.)? PS. Вы хоть конфиги показали бы. Кстати права на nsswitch.conf и настройки какие?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Пользователи из LDAP видны только под root'ом"
	Сообщение от Dip on 06-Дек-05, 09:39 (MSK)
	>А как он смог залогиниться, если его нет в LDAP-е? Значит его >учетная запись в master.passwd и в этом случаи к серверу директории >ни каких запросов поступать не должно. Еще раз. В LDAP'e он есть. У меня проблема в том, что пользователи из LDAP логинятся, но потом не работают команды типа id, ls -a, chown и т.п. применительно к пользователю из LDAP, то есть система работает с UID/GID, но в упор не видит login и group. Видит только их только root. Может я сначала не совсем понятно объяснил, извините. >Создайте несколько директорий из под root-a c владельцами пользователей находящихся в LDAP-e. >Из под root-a они должны быть видны (при этом смотрим какие >запросы идут к LDAP-у). Далее смотрим владельцев директорий не из под >рута и не из под пользователя из LDAP-а (опять же смотрим >какие запросы идут к LDAP-у). Если опять запросы не идут, то >временно меняем права на ldap.secret, чтобы любые пользователи могли его читать. Запросы идут только из под рута. >из под пользователей опять смотрим - должно быть все нормально, следовательно >у Вас где-то проблемы с правами. > >В логах ошибки есть? Синтаксис nss_ldap.conf правильный (внимательно посмотрите, может ошиблись с >binddn, bindpw и т.д.)? В логах ошибок нет. nss_ldap.conf - просто симлинк на ldap.conf, синтаксис вроде правильный. > > >PS. Вы хоть конфиги показали бы. Кстати права на nsswitch.conf и настройки >какие? Права стояли 600. Смена на 644 ничего не дала. Конфиги выложу, если поможет. Их тока почистить от комментов надо, чтоб нагляднее было. На последок: login:user password: >id LDAPuser id: LDAPuser: no such user >su #id LDAPuser uid=10000(LDAPuser) gid=10000(LDAPgroup) groups=10000(LDAPgroup) Может так понятнее...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Пользователи из LDAP видны только под root'ом"
	Сообщение от Dip on 06-Дек-05, 09:44 (MSK)
	О! Прогресс! Отключение binddn в ldap.conf и разрешение чтения из ldap.secret всем решили проблему. Заработало. Расскажите пожалуйста, как правильно создать учетную запись для binddn и что прописать в ldap.conf, сам я видимо не правильно понял. У меня щас так: 1) пользователь создан с помощью утилиты LAM (LDAP account manager), это вебинтерфейс на PHP. 2) binddn uid=LDAPuser,ou=users,dc=domain,dc=net Что неправильно и как надо? Огромное спасибо! Наконец-то что-то начало проясняться.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Пользователи из LDAP видны только под root'ом"
	Сообщение от Dip on 07-Дек-05, 11:36 (MSK)
	Проблема решена. Оказалось, что в ldap.conf надо было написать pam_password clear, я же пытался прикрутить туда pam_password ssha. Как оно работает не понимаю. Пароли в ЛДАПе хранятся в ssha по прежнему. Есть предположение, что эта строчка ответственна не за способ хранения hash'ев, а за способ передачи пароля ЛДАП-серверу, который уже сам определяет, каким алгоритмом генерить hash. Если кто знает, напишите.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]